Préparer la montée de version des contrôleurs de domaine vers Windows Server 2022 exige une méthode rigoureuse : vérification du schéma Active Directory, migration de SYSVOL, retrait d’Exchange 2007, test de compatibilité des systèmes hérités, puis durcissement progressif de la sécurité.
Vue d’ensemble de la migration
De nombreuses entreprises exploitent encore un environnement mixte où cohabitent contrôleurs de domaine Windows Server 2012 R2 et versions antérieures (2003 → 2016), postes clients Windows XP à 8.1, ainsi qu’une messagerie Exchange 2007/2013 hybride. La mise en service de DC Windows Server 2022 et l’élévation des niveaux fonctionnels forêt et domaine à 2012 constituent l’opportunité de :
- Renforcer la sécurité (chiffrement SMB AES‑256, LDAP Signing/Channel Binding, LSA Protection, etc.).
- Bénéficier des améliorations de réplication AD et du moteur KDC plus moderne.
- Préparer un futur passage aux niveaux fonctionnels 2016 ou 2019 sans rupture de service.
Pré‑requis techniques
- Sauvegardes : état système de chaque DC, bases Exchange, instantanés VM si virtualisation.
- Schéma AD : exécuter
adprep /forestpreppuisadprep /domainprepdepuis un serveur 2012 R2 maître d’opérations (FSMO) connecté à un catalogue global. - Migration SYSVOL : vérifier que FRS est remplacé par DFS‑R (
DFSR‑migration.exe: états Start→Prepared→Redirected→Eliminated). - Messagerie : désinstaller Exchange 2007 (non supporté) et faire pointer tous les connecteurs SMTP vers Exchange 2013 ou un relais dédié avant l’introduction de Windows Server 2022.
- Réseau & DNS : s’assurer que chaque sous‑réseau possède un DC 2022 joignable et que les enregistrements SRV se propagent correctement.
Compatibilité descendante et recommandations pratiques
| Point à valider | Comportement attendu après DC 2022 & FFL/DFL 2012 | Actions conseillées |
|---|---|---|
| Membres Windows Server 2003 / 2008 / 2008 R2 | Resteront joints au domaine ; Kerberos/NTLM restent fonctionnels. | Tester les applications (SMB v1, RPC obsolètes). Planifier la mise à jour ou la décommission. |
| Postes Windows XP, 7, 8/8.1 | Authentification toujours possible tant que les protocoles faibles ne sont pas bloqués. | Segmenter ces postes, désactiver SMB v1, forcer TLS 1.2 si possible, définir une feuille de route vers Windows 10/11. |
| Exchange 2007 | Incompatible avec DC 2022. | Désinstaller avant l’arrivée des nouveaux DC, migrer le routage SMTP vers Exchange 2013 ou un relais Linux/Postfix. Prévoir un passage rapide vers Exchange 2019 ou Exchange Online. |
| Exchange 2013 hybride | Fonctionne avec DC 2022 mais hors support étendu depuis avril 2023. | Mettre à jour vers Exchange 2019 CU14+ ou finaliser la bascule vers Microsoft 365. |
| SYSVOL | FRS refusé par l’outil de promotion (prerequisite check). | Lancer la migration vers DFS‑R avant Install‑ADDSDomainController. |
| Durcissements de sécurité récents (LDAP Signing, SMB AES‑256, RPC Signing) | Peuvent interrompre les OS très anciens. | Activer en laboratoire, documenter les exceptions dans des GPO granulaires, supprimer progressivement les exceptions. |
Étapes détaillées du projet
- Audit initial
- Inventorier les OS, rôles FSMO, applications dépendantes d’AD.
- Identifier les contrôleurs sur FRS et vérifier la latence de réplication (
repadmin /replsummary).
- Migration SYSVOL
- Démarrer la migration DFS‑R (
DFSR‑migration.exe /setglobalstate 1) et surveiller l’événement 8014. - Poursuivre jusqu’à l’état Eliminated.
- Démarrer la migration DFS‑R (
- Retrait d’Exchange 2007
- Sauvegarder les bases EDB, démonter les magasins, désinstaller via l’assistant Exchange.
- Nettoyer les objets
CN=Microsoft Exchange System Objectsobsolètes.
- Mise à jour du schéma
- Exécuter
adprepà partir du média Windows Server 2022 (build 20348). - Vérifier la version de schéma (objectVersion = 88) dans
CN=Schema,CN=Configuration,DC=....
- Exécuter
- Promotion du premier DC 2022
- Lancer
Server Manager → Ajouter des rôles / fonctionnalités → Services AD DS → Promotion. - Sélectionner « Contrôleur de domaine supplémentaire », transférer le catalogue global.
- Contrôler
dcdiag /vet la réplication.
- Lancer
- Élévation des niveaux fonctionnels
- Quand tous les DC 2008 R2+ répliquent correctement, élever le domaine puis la forêt à 2012 (Active Directory Domains and Trusts).
- Valider les journaux (
Event ID 2039: Raise DS Functional level succeeded).
- Retrait des anciens DC
- Transférer les rôles FSMO restants sur WS 2022.
- Exécuter
dcpromo /demotesur chaque DC 2012 R2 ou inférieur.
- Durcissement progressif
- Activer l’audit des connexions LDAP anonymes (
16 Directory Service Access). - Basculer SMB en AES‑256 (
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters). - Refuser NTLM sur les contrôleurs via Network security: Restrict NTLM une fois les postes mis à jour.
- Activer l’audit des connexions LDAP anonymes (
- Migration Exchange 2013 → 2019 / Online
- Déployer un ou plusieurs serveurs Exchange 2019 CU14+, monter les bases, déplacer les boîtes (
New‑MoveRequest). - Mettre à jour le connecteur hybride (HCW) si Office 365 est déjà utilisé.
- Retirer Exchange 2013 (
Setup.exe /mode:uninstall).
- Déployer un ou plusieurs serveurs Exchange 2019 CU14+, monter les bases, déplacer les boîtes (
Validation post‑migration
Avant d’appeler le projet terminé, vérifiez les points suivants :
- La réplication AD ne signale aucun échec (
repadmin /showreplpropre, événement 4602). - Les scripts de démarrage et GPO sont toujours appliqués (
gpresult /r). - Les serveurs et postes hérités s’authentifient sans erreur (
kerberos Event ID 4776OK). - Les connecteurs SMTP relayent sans rejet 5xx.
- Les sauvegardes AD/VSS fonctionnent après la mise à jour des agents.
Durcissements complémentaires à envisager
| Fonction | Bénéfices | Précautions |
|---|---|---|
| Privileged Access Management (PAM) | Just‑in‑time admin, réduction du vol de jetons Kerberos | Nécessite FFL/DFL 2016 et bastion forest, testez les approbations sélectives |
| KDC Armoring | Protection des échanges TGT/SPN contre le MITM | Exige OS 2012+ côté client, modifie la taille des tickets ; surveiller les applications IIS |
| LSA Protection | Empêche l’injection de DLL non signées dans LSASS | Incompatible avec certains pilotes d’antivirus legacy, prévoir la mise à jour des agents |
| Bloquer NTLM | Supprime les risques de relay attack | Implique le passage complet au Kerberos ou à OAuth (Azure AD) |
Optimisation et évolutions futures
Une fois votre annuaire stabilisé, plusieurs pistes peuvent accroître la résilience et la conformité :
- Basculer les stratégies Group Policy critiques vers des politiques Intune / MDM si des postes Windows 11 sont gérés dans le cloud.
- Adopter Windows Server vNext (2025) pour les contrôleurs situés en DMZ, afin de profiter des mises à jour sans redémarrage (Hot‑patching).
- Mettre en place des contrôleurs Read‑Only Domain Controller (RODC) sur les sites distants sans personnel IT.
- Connecter AD DS à Entra ID (ancien Azure AD) via Entra Connect v3 pour bénéficier du SSO cloud et de la protection par Conditional Access.
Foire aux questions
Dois‑je obligatoirement retirer tous les DC 2012 R2 ?
Techniquement non : un environnement mixte 2012 R2 + 2022 fonctionne, mais l’intérêt de rester en double socle est limité. L’harmonisation simplifie la gestion des correctifs et réduit la surface d’attaque.
Quels services risquent d’être interrompus par la désactivation de SMB v1 ?
Les copieurs multifonctions anciens, certaines applications médicales et équipements industriels qui n’intègrent que SMB v1. Testez en pré‑production et envisagez un relais NAS intermédiaire ou la mise à jour firmware.
Puis‑je élever directement les niveaux fonctionnels à 2016 ?
Oui, à condition que plus aucun DC antérieur à 2016 ne subsiste. Toutefois, séquencez les opérations : d’abord 2012 pour éliminer les systèmes 2003/2008, puis 2016 lorsque les tests applicatifs sont concluants.
Quelle solution pour les postes Windows 7 non migrables ?
Isoler via VLAN, activer le firewall, appliquer les ESU (si encore disponibles), interdire les accès Internet directs, et programmer leur retrait au plus tard fin 2025.
Conclusion
La transition vers des contrôleurs de domaine Windows Server 2022 représente bien plus qu’une simple mise à jour d’OS ; c’est l’occasion de réviser l’ensemble de l’architecture Active Directory, de retirer les composants obsolètes et de mettre en place un socle sécurisé aligné sur les meilleures pratiques de 2025. En planifiant chaque étape, en testant les rétro‑compatibilités et en pilotant le durcissement progressif, vous minimisez les interruptions de service tout en maximisant la valeur apportée à votre organisation.